내 정보도 털렸을까? 티빙 개인정보 유출 사고 대응 방법은

국내 온라인 동영상 서비스(OTT) 티빙(TVING)이 해킹 공격을 받아 이용자 개인정보가 유출되는 사태가 발생했다. 유출된 정보에는 기본 인적 사항뿐만 아니라 연계정보(CI)와 중복가입확인정보(DI)까지 포함돼 2차 피해 우려가 커졌다.

크게보기

개인정보 유출 사고 사과문을 올린 티빙 / 출처=티빙

티빙은 지난 6월 1일 침해 사고를 신고했으며, 3일 홈페이지 공지를 통해 이용자 개인정보 유출 사실을 알리고 공식 사과했다. 티빙에 따르면 신원 미상의 해커가 이용자 개인정보가 저장된 데이터베이스(DB)에 비인가 접근해 파일을 외부로 무단 전송한 흔적이 포착됐다. 유출된 항목은 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화), 제휴 서비스 이용 정보, 보유 캐시 금액 및 누적 캐시 결제 정보, 결제 이력 정보 등이다.

과학기술정보통신부(이하 과기정통부), 개인정보보호위원회(이하 개인정보위)는 민관합동조사단을 구성해 조사에 착수했다. 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원실에 제출받은 자료에 따르면, 현재까지 확인된 유출 규모는 1953만 명이다. 티빙의 유료 가입자 수 약 500만 명, 월간 활성 이용자 수(MAU) 약 800만 명을 훨씬 웃도는 수준이다. 이에 탈퇴 회원, 장기 휴면 계정의 개인정보를 법적 기한 내에 파기하지 않고 방치한 것이 아니냐는 의혹이 제기됐다. 개인정보위는 통신사 결합 상품 등 번들 연동 계정이 포함됐는지 분석 중이다.

티빙은 “유출 정황을 인지한 직후 공격자 IP를 차단하고 클라우드 접근 통제 정책을 전면 수정했으며, 추가 피해 확산 예방을 위해 DB 접속 모니터링을 강화했다”고 설명했다. 공식 사과문을 통해 재발 방지를 약속하는 한편, 이용자들에게 티빙과 동일 계정 정보를 사용하는 다른 서비스의 비밀번호를 즉시 바꿀 것을 권고했다. 개인정보위는 자료 제출 요구와 현장 조사를 통해 유출 경위, 피해 규모, 안전조치 의무 준수 여부 등을 확인하고, 법 위반이 확인되면 엄중히 처분하겠다고 밝혔다.

피해자들은 법무법인 지향을 통해 대규모 집단 손해배상 소송에 돌입했다. 소송 참여 인원은 10만 명을 돌파한 것으로 나타났다. 청구액은 원고 1인당 30만원이다. 한편, 티빙은 최근 가입자 수와 매출 성장세를 이어왔음에도 불구하고 정보보호 투자액을 약 20% 줄인 것으로 밝혀졌다.

파장 일으킨 CI 유출…뭐길래?

티빙 개인정보 유출 내역 / 출처=IT동아

정부 발표 이후 피해자들이 가장 불안해하는 이유 중 하나는 고유 식별정보인 CI와 DI의 유출이다. CI는 온라인상에서 ‘디지털 주민등록번호’ 역할을 하는 본인확인 고유 식별값이다. 과거 대규모 해킹 사태 이후 개인정보보호법이 개정되면서 인터넷 사이트가 주민등록번호를 직접 수집하는 행위는 금지됐다. 대신 도입된 제도가 통신사나 카드사 등 본인확인기관을 중간에 두고 주민등록번호를 복잡한 문자열로 암호화하여 본인 여부를 식별하는 방식인데, 이때 생성되는 대표적인 정보가 CI와 DI다.

CI 값이 유출됐다고 해서 바로 주민번호처럼 악용될 수 있는 것은 아니다. CI는 특정 개인을 판별하는 식별 수단이지만, 개인이 권한을 가진 주체인지 검증하는 인증 수단이 아니기 때문이다. 따라서 CI 유출이 2차 피해로 직결되지는 않는다. 다만 해커가 이번에 유출된 CI를 과거 타 서비스에서 이미 유출된 정보와 결합할 경우 악용될 수 있다는 우려가 있다.

DI는 사용자가 특정 웹사이트에 중복으로 가입하는 것을 방지하기 위해 생성되는 값이다. CI가 모든 사이트에서 공통으로 쓰이면, DI는 개별 사이트마다 다르게 부여된다. 예컨대, 티빙 가입 시 생성된 DI는 티빙 내부에서만 중복 가입을 확인하는 용도로 쓰이며, 다른 사이트의 DI 값과 일치하지 않다. 유출 시 위험성은 다소 낮지만, 역시 악용될 여지가 있다.

개인정보 유출 시 대응 방법은

개인정보 유출 후 비밀번호 변경 방법 / 출처=IT동아

티빙 공식 웹사이트와 모바일 앱을 통해 이용자가 직접 유출 여부와 세부 항목을 조회할 수 있다. 배너를 클릭해 로그인한 뒤 본인이 가입했던 계정 유형을 선택하면, 본인의 유출 여부와 구체적인 유출 항목을 확인할 수 있다.

현재로서 실효성 있는 최우선의 대응책은 비밀번호 변경이다. 티빙과 CJ ONE을 비롯해 네이버, 카카오, 애플, 페이스북, X(구 트위터) 등 연동된 SNS 플랫폼의 비밀번호도 다르게 변경한다. 또한 2단계 인증도 중요하다. 카카오톡, 네이버, 구글 등 주요 플랫폼을 중심으로 누군가 내 비밀번호를 알아내더라도 휴대전화 앱 승인이나 OTP 인증 등 이중 보안을 거쳐야만 로그인이 가능하도록 차단하는 방법이다.

명의도용방지 서비스 가입이 반드시 필수적인 것은 아니다. 앞서 언급했듯 CI만으로는 휴대전화 개통이나 신규 계좌 개설이 불가능하기 때문이다. 그러나 타 인적 사항이 함께 유출되었거나, 본인 명의로 신규 휴대전화·인터넷이 개통되는 금융 범죄를 원천 차단하고 싶다면 명의도용방지 서비스를 추가 설정하는 것도 방법이다. 평소 번호이동이나 신규 대출, 계좌 개설 계획이 없는 사용자라면 카카오뱅크, PASS 앱, 엠세이퍼(Msafer) 등을 통해 가입제한 설정을 해두면 안심할 수 있다.

일상 속 보안 점검 방법은

크게보기

티빙 유출사고 후 예상되는 스미싱 문구 / 출처=과기정통부

결국 가장 중요한 건 평소 생활 습관에서 안전 점검을 생활화하는 것이다. 최근 피싱 조직이 확보한 정보가 방대해지고 수법 역시 정교해진 만큼 전화, 문자, 이메일에 포함된 링크는 항상 의심해야 한다. 주기적인 비밀번호 변경은 기본이며, 특히 유출 사고 이후 날아오는 “피해보상”, “피해사실 조회”, “환불” 등의 키워드가 포함된 문자는 주의해야 한다. 기업이나 정부 기관을 사칭한 스미싱도 주의한다. 문자 내 악성 인터넷주소(URL) 클릭을 유도해 피싱사이트 및 악성앱을 설치하게 만드는 방식이다. 포털 사이트에 관련 키워드를 검색할 때도 피싱 사이트가 검색 결과 상단 광고로 노출되는 경우가 있어 주의가 필요하다.

나의 보안 상태를 점검하기 위해 한국인터넷진흥원(KISA)의 ‘털린 내 정보 찾기’ 서비스를 활용하면 다크웹 등에 내 아이디와 패스워드가 유출되었는지 조회할 수 있다. 또한 금융결제원의 ‘계좌정보통합관리서비스’를 이용하면 나도 모르게 개설된 신규 금융 내역을 한눈에 확인할 수 있다. 당분간 출국 계획이 없다면 각 카드사 홈페이지나 앱을 통해 ‘카드도용 해외결제차단’을 설정해 두는 것도 좋다.

만약 의심스러운 문자를 받았다면 카카오톡 채널 ‘보호나라’의 ‘스미싱·피싱 확인서비스’를 이용해 악성 여부를 판별하거나, 스마트폰 문자 화면에서 즉시 ‘스팸으로 신고’해야 한다. 출처가 불분명한 사이트 주소는 클릭하지 말고 바로 삭제해야 하며, 부득이하게 접속할 경우 공식 주소와 일치하는지 대조해 보아야 한다. 휴대전화 번호나 인증번호 등 민감한 개인정보는 검증된 신뢰 사이트에만 입력하고, 본인확인 인증번호를 타인에게 공유하는 행위는 절대 금물이다.

악성 앱에 감염된 상태로 금융 서비스를 이용했다면 공인인증서나 보안카드 등 금융거래 정보가 탈취되었을 가능성이 높으므로, 즉시 해당 금융 정보를 폐기하고 재발급받아 2차 피해를 막아야 한다. 또한 스마트폰 내 악성 앱이 주소록을 조회해 지인들에게 유사한 스미싱 문자를 대량 발송할 수 있으므로, 이동통신사 부가서비스 중 무료 제공되는 ‘번호도용문자차단서비스’를 신청해두자. 신분증 사진이나 비밀번호 등은 메모장, 사진첩, 클라우드, 이메일 첨부파일 등 해킹에 취약한 디지털 공간에 보관하지 않는 습관도 중요하다.

IT동아 김예지 기자 (yj@itdonga.com)